Datenschutz und IT-Recht: Was tut sich aktuell im Web?

 

Fast jedes Unternehmen hat eine Website. Unabhängig davon, ob die Website nur als „digitale Visitenkarte“ dient oder erweiterte Funktionen wie einen Online-Shop bietet, müssen sich die Betreiber:innen der Website auch im Internet an Recht und Gesetz halten. Unsere Expert:innen für Datenschutz und IT-Recht geben einen kurzen Überblick über aktuelle Themen und Fragestellungen rund um den sicheren Webauftritt.

Interview: Dr. Christian Lenz und Kirsten Garling

 

Beim Surfen im Internet kommt man um Cookiehinweise fast nicht mehr herum. Was ist der Hintergrund und was hat sich hier geändert?

Lenz: Die sogenannten Cookiebanner dienen dazu, die Einwilligung der Websitebesucher:innen einzuholen, wenn auf einer Website Cookies oder andere Technologien eingesetzt werden, die für die Bereitstellung der Websitedienste nicht technisch erforderlich sind. Technisch erforderlich sind z.B. Cookies, die den Inhalt des Warenkorbs oder die Login-Daten speichern. Technisch nicht erforderlich sind hingegen Cookies, die der Analyse der Websitebesucher:innen dienen oder die durch Drittanbieterdienste wie Youtube oder Google Maps gesetzt werden. Sie dürfen erst gesetzt werden, wenn die Nutzer:innen über den Cookiebanner eingewilligt haben.

Garling: Dass die Cookiebanner in letzter Zeit deutlicher auffallen, liegt daran, dass es sowohl eine Gesetzesänderung als auch eine neue Stellungnahme der deutschen Aufsichtsbehörden gegeben hat, die viele Betreiber:innen von Websites dazu gebracht haben, die Cookiehinweise anzupassen. Websitebesucher:innen müssen tatsächlich die Wahl haben, technisch nicht erforderliche Cookies zu akzeptieren oder abzulehnen. Diese Wahlmöglichkeit führt in Kombination mit den hierzu bereitgestellten Informationen natürlich dazu, dass die Cookiebanner deutlicher auffallen, weil man sie nicht einfach „wegklicken“ kann. 

Ein Thema, das auch in der Öffentlichkeit immer wieder diskutiert wird, ist die Übermittlung von Daten in die USA. Gibt es zu diesem Thema neue Entwicklungen?

Garling: Die Datenübermittlung in die USA bleibt nach wie vor ein sehr großes Thema. Auch eineinhalb Jahre, nachdem der Europäische Gerichtshof das Privacy-Shield-Abkommen zwischen den USA und der EU aufgehoben hat, ist kein neues Abkommen in Sicht. Unternehmen müssen daher eine andere Grundlage für die Datenübermittlung in die USA als Drittland finden. Die Einwilligung der Nutzer:innen soll nach Auffassung der deutschen und europäischen Aufsichtsbehörden nur für Ausnahmefälle und nicht für regelmäßig stattfindende Übertragungen wirksam sein. Hier kann man aber auch anderer Meinung sein, da sich diese Auffassung nicht aus dem Wortlaut des Gesetzes ergibt. Daher findet sich die Einwilligung trotzdem auf vielen Websites, insbesondere wenn es um den Einsatz von Diensten wie Google Analytics geht. Klarheit kann hier wohl nur ein EuGH-Urteil schaffen. 

Lenz: Etwas mehr Erleichterung haben im Sommer letzten Jahres die von der Europäischen Kommission vorgestellten neuen Standardvertragsklauseln geschaffen. Diese Klauseln sind zwischen dem „Importeur“ und dem „Exporteur“ der personenbezogenen Daten abzuschließen. Der „Importeur“ verpflichtet sich hiermit, sich an die Vorgaben der DSGVO zu halten. Ein wesentlicher Bestandteil der Standardvertragsklauseln ist die Pflicht, ein „Transfer Impact Assessment“ (TIA) durchzuführen. Hiermit untersuchen die Parteien, ob der „Importeur“ aufgrund der in seinem Land geltenden rechtlichen Vorgaben überhaupt in der Lage ist, die Standardvertragsklauseln einzuhalten. Durch den „Cloud Act“ sind Unternehmen in den USA verpflichtet, Daten an US-Behörden herauszugeben. Nicht-US-Bürger:innen haben keine rechtliche Möglichkeit, sich gegen eine solche behördliche Entscheidung zu wehren. Die Parteien müssen daher im Rahmen des TIA ergänzende Schutzmaßnahmen beschreiben, die die Daten vor einer solchen Herausgabe schützen. Ohne ein solches TIA können die Standardvertragsklauseln nicht wirksam abgeschlossen werden. Das Ergebnis ist daher unbedingt zu dokumentieren. 

Wie verhalten sich die deutschen und europäischen Datenschutzbehörden oder Gerichte zu diesem Thema?

Lenz: Die deutschen Aufsichtsbehörden haben 2021 eine grundsätzliche Untersuchung zur Datenübermittlung in Drittländer durchgeführt und im Rahmen einer länderübergreifenden Kontrolle Fragebögen an zahlreiche Unternehmen versendet. Diese bezogen sich auf insgesamt fünf Themen mit Bezug zum internationalen Datentransfer: E-Mail-Versand, Hosting von Internetseiten, Webtracking, Verwaltung von Bewerberdaten und konzerninterner Austausch. Eine Übersicht über die Ergebnisse ist noch nicht bekannt, jedoch haben sich im wohl bereits zahlreiche Einzelmaßnahmen ergeben, die insbesondere in der Untersagung von Verarbeitungsprozessen und Datenübermittlungen endeten. 

Garling: Da die Google-Dienste auf vielen Websites zum Einsatz kommen, sind zwei Entscheidungen besonders interessant, die Sie im Detail in unserem Newsroom lesen können. Zum einen sprach das Landgericht München einem Kläger 100 € Schadensersatz zu, weil eine von ihm besuchte Website Google Fonts über die Google Server in den USA einsetzte. Auch wenn es sich nur um 100 € handelte, wären theoretisch alle Besucher:innen der Website berechtigt, einen solchen Schadensersatz zu fordern. Und der finanzielle Schaden für das Unternehmen ist nicht unerheblich. Zum anderen hat der Datenschützer Max Schrems mit seiner Verbraucherschutzorganisation NOYB zahlreiche Beschwerden bei europäischen Datenschutzbehörden eingereicht, die sich gegen den Einsatz von Google Analytics bei verschiedenen Unternehmen richteten. Die französische und die österreichische Datenschutzbehörde untersagten den jeweiligen Unternehmen den Einsatz von Google Analytics auf ihrer Website. Die niederländische Aufsichtsbehörde zieht womöglich nach. 

Abseits des Datenschutzes: Welche weiteren rechtlichen Entwicklungen gibt es für Betreiber:innen von Websites?

Lenz: Eine besonders treibende Kraft bei Gesetzesänderungen im Internetrecht ist immer der Verbraucherschutz. Wer einen Webshop betreibt, sollte vor allem die Änderungen des Bürgerlichen Gesetzbuchs (BGB) beachten, die zum 1.1.2022 in Kraft getreten sind. So sind etwa der geänderte Mangelbegriff und die Einführung des neuen Vertragstyps über „digitale Produkte“ mögliche Gründe, die AGB auf der Website anzupassen. Schließen Unternehmen mit den Kund:innen Dauerschuldverhältnisse über die Website ab, ist ein Kündigungsbutton einzurichten. Außerdem treten im Mai 2022 weitere Gesetzesänderungen in Kraft, die Verbraucherrechte stärken und dazu führen, dass Händler:innen die Widerrufsbelehrungen anpassen müssen. Betreiber:innen von Webshops sollten die Gesetzesänderungen daher genau verfolgen und rechtzeitig ihre AGB und anderen Rechtstexte prüfen und gegebenenfalls anpassen.

Garling: Interessant ist auch der Digital Services Act (DSA), den das Europäische Parlament am 20.1.2022 verabschiedet hat. Zwar soll dieser erst 2023 in Kraft treten, doch regelt er u.a. ein Thema, das in den letzten Jahren immer wichtiger geworden ist, nämlich das Vorgehen gegen Hass- und Falschnachrichten. Dabei nimmt das Europäische Parlament die stärkere Regulierung großer Online-Konzerne wie Google und Facebook/Meta besonders in den Fokus. So soll der DSA u.a. dazu führen, dass diese großen Konzerne die Funktionsweise ihrer Algorithmen, nach denen sie entscheiden, welche Inhalte den Nutzer:innen angezeigt werden, offenlegen müssen. Aber selbst, wenn die Regelungen besonders für große Unternehmen strenger sein sollen, können auch kleinere Anbieter von Social-Media-Plattformen und Online-Marktplätzen von neuen Regelungen betroffen sein, sodass auch diese Unternehmen die Entwicklung beobachten sollten, um rechtzeitig Änderungen auf ihrer Website umsetzen zu können.

Ähnliche Beiträge

Zurück

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink